惨遭空中浩劫，全司最强的几个红队壬（上线前做过审计）的眼皮底下，一名外包员工鬼使神差绕过了CI/CD、静态扫描、动态扫描、渗透测试等所有的检查机制，把log4j2-core<=2.14版本带上了生产环境，被友商红队一发入魂。虽然态势感知救了救，你jar包下面的application.yml都露出来了。 “你们修得很快啊”，裁判席上大伙对俺们爆发了极其欢乐的笑声。 “WAF呢，某里云WAF救一下啊”，我复测时往参数框里输了典中典{jndi:ldap原版payload。 某里云WAF一声不吭。